本周初,安全公司Codenomicon的工程师安蒂·卡加莱能(Antti Karjalainen)在正常的工作时,却偶然发现了互联网史上最大的安全漏洞——Heartbleed(心脏流血)漏洞。卡加莱能也是Codenomicon安全公司揭示Heartbleed漏洞的三位功勋工程师之一。
Heartbleed漏洞影响了被广泛使用的开放源代码SSL安全套件OpenSSL的加密协议。简言之,这个漏洞可以诱使服务器将其内存中的数据溢出来,从而可能让黑客掌握这一漏洞,并进一步窃取诸如信用卡和密码等之类的敏感信息。
卡加莱能,以及其在Codenomicon公司中的同事瑞库·希塔马基(Riku Hietamaki)和马蒂·卡莫能(Matti Kamunen),还有谷歌安全人员尼尔·米赫塔(Neel Mehta,非Codenomicon工作人员),被认为是最先发现Heartbleed漏洞的几位人员。卡加莱能声称,他是在和希塔马基共同更新Codenomicon公司程序测试组件的功能时发现这个漏洞的。
据卡加莱能披露,Codenomicon公司程序测试软件的新功能名为“Safeguard”,旨在识别各种新型的软件漏洞。卡加莱能还称,他最初在对OpenSSL的Heartbeat功能增加支持程序时,发现了一些错误的地方。Heartbeat功能是用来测试连接是否安全的功能,可以让一台服务器向另一台服务器发送任意数据,然后接收服务器再将数据完全一样的复制品发回原先的发送服务器,以此证明这种连接的安全性,
安全互联网的王冠:
Codenomicon开始注意到,一些新测试案例将会启动Heartbeat程序内的漏洞。对此,卡加莱能声称:“我们拥有正确的工具,也处于正确的地方。”
在发现了一个测试案例的回复变得异常大之后,卡加莱能和希塔马基又尝试了另一种新测试方法。新测试将证实Hearbeat功能中的漏洞会秘密地泄露外部数据。
卡加莱能对此声称:“这种现象正是我们担心的。服务器突然将内存中的数据大量溢出,我们在进一步调查了回应信息之后,很快就发现这可能是一个非常非常严重的漏洞。”
第二天,Codenomicon公司的安全专家马科·拉克索(Marko Laakso)发现,正被用于支持公司测试程序组件的OpenSSL也在泄露服务器上的密钥。卡加莱能对此称:“密钥就是安全互联网的王冠,是用来证明你的真实身份,从这个意义上讲,Heartbleed可能就是互联网史上最严重的漏洞。”
Heartbleed漏洞诞生:
在发现了Heartbleed漏洞之后,Codenomicon公司并着手开始给服务器打补丁,并运用了各种方法来将此漏洞通告给其他人。Codenomicon在此过程中一直将此问题称为“Heartbleed”,因此该公司已经购买了heartbleed.com域名,创建了相应的从视觉上代表此漏洞的图标,并开始撰写与此漏洞问题相关的详细报告。
从几大方面来看,Heartbleed漏洞极其危险,例如会影响被广泛应用于多数互联网的OpenSSL安全软件,这就意味着此漏洞可能会以各种不同的方式影响每一位互联网用户。Heartbleed很难检测出来,因为此漏洞可以让入侵的黑客在数据传输过程的极早期阶段发动攻击,从而盗取相关的数据。Codenomicon公司联合创始人兼首席研究官阿瑞·塔卡能(Ari Takanen)将此漏洞比作是“甚至在你锁门之前小偷就开始在大楼内偷盗”一样。